pentest

Ребята из HackTheBox подготовили лабораторную машину на Linux и оценили ее сложность как Medium, чтобы мы своими руками могли проверить резонансную уязвимость в Jenkins, которая позволяет читать любой файл на сервере с правами пользователя.

Весьма интересная машина HackTheBox на Linux с уровнем Hard из десятой недели соревнований четвертого сезона. Будем эксплуатировать XSS для первоначального доступа, далее немного побрутим пароль пользователя, после чего воспользуемся мисконфигурацией в мониторинговом софте, а в конце воспользуемся старой уязвимостью.

Лабораторная машина CTF платформы HackTheBox уровня Medium под управлением ОС Linux, в которой с помощью DNS-сервера обнаружим поддомены, проведем SQL и OS Command Injection, а также поднимем привилегии с помощью мисконфигурации скрипта, выполняемого от суперпользователя.

Простая машина из четвертого сезона HackTheBox на Linux с уровнем Easy, в которой надо проверить свои силы в SSTI и брутфорсе.

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Windows IoT Core, в которой посмотрим на Windows IOT Core и проэксплуатируем Sirep Test Service.

HackTheBox машина из четвертого сезона и восьмой недели на Windows с уровнем Medium, в которой будем по полной программе эксплуатировать XMPP/Jabber сервер для получения максимальных привилегий.

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Linux, в которой правильно идентифицируем уязвимость EternalBlue и просто применим эксплоит.

Машина HackTheBox на Windows уровня Hard, в которой будем эксплуатировать уязвимость раскрытия информации в Joomla < 4.2.8, использовать атаку Password Spray, исследовать PCAP-файл и другое. Повышение привилегий выполнено через неправильный способ, который явно запатчат. Позже было добавлено повышение привилегий через вытаскивание кредов из DPAPI и абуз GPO.

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Linux, в которой проэксплуатируем публично-известный эксплоит для Samba и получим полный доступ к системе.

Лабораторная машина CTF платформы HackTheBox уровня Medium под управлением ОС Windows, в которой атакуем старую версию Drupal с помощью публичного эксплоита, после чего проведем атаку с помощью JuicyPotato.